Všechny informace, které mají pro organizaci hodnotu je nutné vhodným způsobem chránit

30.3.2017 | Rubrika: Údržba, zálohování dat lokálních zdrojů – bezpečný provoz… | Autor: (red)

Všechny informace, které mají pro organizaci hodnotu je nutné vhodným způsobem chránit

V dnešní době dochází k velkému nárůstu kybernetické zločinnosti a útoků nejen v oblasti IT podnikových sítí, ale také v sítích řídicích systému průmyslové výroby. Stále častěji jsou organizace, jejich informační systémy, ale také řídicí systémy vystavovány bezpečnostním hrozbám z různých zdrojů, včetně počítačových podvodů, špionáže, vandalizmu nebo přírodních katastrof. S rostoucí propojeností prostředí jednotlivých organizací jsou informace vystaveny zvyšujícímu se počtu různých hrozeb a jsou zranitelnější.

Zdroje škod, jako jsou počítačové viry, útoky hackerů a útoky typu odepření služby, jsou stále častější, roste jejich nebezpečnost a sofistikovanost. Např. k nakažení malwarem nemusí dojít pouze u systému připojených k internetu. V nemalém procentu případů dochází k infekci malwarem rovněž při použití vyměnitelných zařízení jako jsou externí disky, SD karty a podobně.

Všechny informace, které mají pro organizaci hodnotu je nutné vhodným způsobem chránit. S rostoucí propojeností prostředí jednotlivých organizací jsou informace vystaveny zvyšujícímu se počtu různých hrozeb a zranitelností. Informace mohou existovat v různých podobách. Mohou být vytištěny nebo napsány na papíře, uloženy v elektronické formě, posílány poštou nebo mailem.

Bezpečnosti informací lze dosáhnout implementací soustavy opatření, která mohou existovat ve formě pravidel, postupů, procedur, organizační struktury, softwarových a hardwarových funkcí. Pro udržení právní shody a dobrého jména organizace může být bezpečnost informací zásadní.

Počátkem ledna 2015 nabyl účinnosti zákon č. 181/2014 Sb. - Zákon o kybernetické bezpečnosti. Tento zákon upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti. Uvedený zákon stanovuje, jakým způsobem má být kybernetická bezpečnost zajištěna a určuje způsob reakce na kybernetické hrozby nebo řešení nastalého incidentu.

Pro aplikaci systému řízení bezpečnosti informací v organizacích lze použít rovněž normu ČSN ISO/IEC 27001:2014. Tento standard obsahuje soubor pravidel pro ochranu a bezpečnost informačních aktiv (tedy nejen informací, ale i např. klíčového hardwaru, softwaru, zaměstnanců, know-how atd.) uvnitř organizace.

Nejen proto, že každá organizace je do určité míry závislá na fungujícíma spolehlivém informačním anebo řídicím systému, bez nějž se již neobejde, ale i proto, že vývoj s sebou přináší stále nové hrozby a potencionální nebezpečí, musí organizace řešit otázky bezpečnosti informací.

Komunikace a přenos dat v sítích řídicích systémů, má oproti komunikaci v podnikových informačních sítích stanoveny jiné priority. Například z hlediska výkonnostních požadavků je pro řídicí systémy časově kritická doba odezvy, je akceptována nízká propustnost, ale není akceptováno vysoké zpoždění. Nutnost vysoké dostupnosti řídicích systémů může vyžadovat redundantní systémy. V neposlední řadě je při řízení rizik řídicích systémů výroby nutné upřednostnit lidskou bezpečnost následovanou ochranou výrobního procesu před důvěrností a integritou dat. Toto jsou jen příklady rozdílu v pohledu na informační systémy a řídicí systémy. S ohledem na stanovené priority musí být proveden bezpečnostní audit a navrženy způsoby zabezpečení systému.

Bezpečnost informací zahrnuje v zásadě čtyři základní oblasti:

  • organizační a administrativní bezpečnost - bezpečnostní struktura organizace, odpovědnosti, pravomoci, dokumentace, interní předpisy
  • komunikační a IT bezpečnost - HW, SW, programové vybavení, aplikace, databáze, komunikace, počítačová síť, …
  • personální bezpečnost - nástup, průběh a ukončení pracovního poměru, školení a vzdělávání, dohody o mlčenlivosti, odpovědnosti…
  • fyzická (objektová) bezpečnost - ochrana perimetru, fyzického vstupu, přístup ke klíčovým prostředkům, opatření proti poškození či ztrátě, … 

Standardní postup při bezpečnostním auditu zahrnuje tyto činnosti:

  • analýza rizik - identifikace aktiv, hrozeb, zranitelných míst, posouzení dopadů
  • audit provozované infrastruktury - zaměření na konkrétní prvky, počítačová síť, servery, stanice, …
  • penetrační testy - zkoušky odolnosti systému vůči potencionálním průnikům
  • bezpečnostní dokumentaci - návrh bezpečnostních politik organizace
  • prezentaci, konzultaci a výcvik - prezentace, výcvik a školení v oblasti informační bezpečnosti pro určené skupiny osob v organizaci

Rozsah auditu je závislý na složitosti provozovaného systému (geografické uspořádání, konkrétní prvky provozované infrastruktury a podobně). Výstupem takového posouzení je nejen konstatování o stávajícím stavu bezpečnosti informací v posuzované organizaci, ale taky soubor návrhu opatření nezbytných pro zajištění zvýšení úrovně bezpečnosti informací.

Fotogalerie

Až 49 % uživatelů neprovádí pravidelnou instalaci aktualizací či oprav softwaru a operačního systému (zdroj: Průzkum globálních rizik IT, 2014) a až 58 % podniků dosud neprovedlo kompletní implementaci správy aplikací (zdroj: Zpráva o globálních rizi
AF POWER agency a.s.

 

AF POWER agency a. s.
Thámova 166/18
186 00 Praha 8

Společnost zapsaná v obchodním rejstříku vedeným u Krajského soudu v Praze, oddíl B, vložka 14661,
Identifikační sídlo: 28459873

Tel.: +420 222 314 733
E-mail: decentral@afpower.cz

 

Com4In Group
Informační portál decentralnienergetika.cz

 

Časopis DECENTRÁL poskytuje důležité informace výrobním firmám či municipalitám, které se snaží o svou energetickou nezávislost nebo o snížení spotřeby energie.

Časopis Decentrál popisuje zcela konkrétní případové studie realizace lokálních zdrojů v širších souvislostech - od okamžiku projektů, přes vlastní realizaci, zkušební provoz až po zprovoznění a následnou údržbu a provoz.

Médium přináší podnětné informace o lokálních zdrojích pro případné investory, ať již jde o starostu či starostku obce či města, ředitele výrobního podniku, šéfa nemocnice, školy či hotelu, developera a podobně.

Velká část obsahu je věnována nejnovějším technologiím a řešením firem, dále pak legislativě, akumulaci energií, elektrizační sítí a podobně.

© Copyright 2002 - 2017 | AF POWER agency a. s.
Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu nakladatelství zakázáno.